Een “Year of Browser Bugs” (YOBB) is ingeluid door SquareX. De doelstelling is duidelijk: de webbrowser moet veiliger worden, en zit als nieuwe endpoint momenteel boordevol bugs en kwetsbaarheden.
SquareX werd in 2023 opgericht als de eerste BDR-speler, ofwel Browser Detection & Response. Die naamgeving verraadt hoe de partij webbrowsers ziet in het IT-domein: een endpoint vol gevaren, terwijl het meer dan welke andere enterprise-app ter wereld wordt gebruikt. Het blijkt een blinde vlek voor traditionele endpoint-oplossingen en ook XDR-diensten, die nog altijd bovenal hardware-endpoints en netwerken beschermen.
Inspiratie uit het verleden
Het nieuwe YOBB-project is geïnspireerd door verschillende Month of Bugs (MOB)-initiatieven. In juli 2006 vond al een Month of Browser Bugs plaats, waarna de focus in november 2006 en januari 2007 werd verlegd naar respectievelijk kernel bugs en Apple-bugs. Volgens SquareX hebben deze initiatieven veel bewustwording opgeleverd, maar de aandacht voor browsers lijkt in bijna twee decennia tijd te zijn afgenomen.
SquareX wijkt af van de focus die in 2006 werd gelegd op browserbugs, aangezien het daarbij draaide om de webbrowser zelf. Nu wil het bedrijf aanvallen op applicatieniveau onthullen die via websites, apps of cloud dataopslag toegankelijk zijn via de browser. Immers draaien er allerlei diensten binnen browsers waarbij laatstgenoemde simpelweg als een medium geldt.
Een niet zomaar te beantwoorden vraag is of aanvallen al langere tijd onopgemerkt zijn gebleven in deze regionen van de IT-infrastructuur. Het zal niet voor elke organisatie eenvoudig te begrijpen zijn dat het beveiligen van cloudapps en de browser zelf onvoldoende is. Het gedrag binnen de browser wordt regelmatig gemonitord binnen organisaties, maar bij de veelvoud aan extensies wordt verwacht dat een partij als Google dit dekt, net als de Chrome-applicatie en het Chromium-project zelf.
Maandelijkse onthullingen
Gedurende 2025 zal het onderzoeksteam van SquareX als onderdeel van het YOBB-project minimaal één kritieke webaanval per maand onthullen. Men richt zich op kwetsbaarheden die architecturale beperkingen van de browser en bestaande oplossingen misbruiken. Dit onderzoek belooft om aanvalspaden te onthullen die zelfs binnen de cybersecurity-gemeenschap onbekend zijn gebleven.
Elke onthulling zal bestaan uit demonstratievideo’s van aanvallen, technische uiteenzettingen en mitigatiestrategieën. Deze onthullingen zijn volledig door SquareX onderzocht en ontdekt; geen hulp van buitenaf zal hierbij te pas komen.
Het jaar der browserbugs is al begonnen
Overigens is het jaar der bugs al van start gegaan. Onder het YOBB-initiatief heeft SquareX namelijk al belangrijke onthullingen gedaan. In januari onthulde het bedrijf bijvoorbeeld ‘browser syncjacking‘, een nieuwe aanvalstechniek die kwaadwillenden controle gaf over zowel de browser als andere applicaties op een endpoint. In februari volgden polymorfe extensies, die infostealers kunnen aanpassen in elke browserextensie. Hierdoor lopen wachtwoordbeheerders en wallets risico, met alle gevolgen van dien.
De lijst der ontdekkingen gaat nog verder terug. In 2024 ontdekte SquareX namelijk al een kritieke fout in Secure Web Gateways (augustus) en de OAuth Identity Attack van Cyberhaven (december).
Een oproep tot actie
Naarmate browsers het nieuwe endpoint worden, richten aanvallers zich steeds meer op werknemers om in organisaties in te breken en gegevens te stelen. Een duidelijk voorbeeld hiervan is het Cyberhaven-incident, aldus Vivek Ramachandran, oprichter en CEO van SquareX. Helaas wordt er, afgezien van aandacht in de mainstream media, weinig gedaan door leveranciers vanuit security-perspectief om vergelijkbare exploits in de toekomst te voorkomen.
Ramachandran voegt toe dat YOBB een poging is van SquareX om aandacht te vestigen op een exponentioneel groeiend aanvalsoppervlak. Veel onheilspellender kan de verwoording haast niet zijn. Mogelijk dat andere security-specialisten zich de komende twaalf maanden geroepen voelen om de klopjacht op browserbugs te versterken.
Lees ook: Google signaleert actief misbruikte zeroday in Chrome-browser